Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 22.03.2019

Der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig, stell­te am Frei­tag, dem 22. März 2019 in den neu­en Räu­men des BayL­DA den Tätig­keits­be­richt für die Jah­re 2017 und 2018 vor.

Prä­si­dent Kra­nig stell­te den 150-sei­ti­­gen Tätig­keits­be­richt für die ver­gan­ge­nen bei­den Jah­re vor und wies zunächst dar­auf hin, dass man kon­kre­te Fäl­le aus dem Zeit­raum vor Anwend­bar­keit der Daten­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dar­ge­stellt habe, wenn sie auch noch für den neu­en Rechts­rah­men Bedeu­tung haben.

Tätig­keits­be­richt nur noch digi­tal und in Zukunft jähr­lich
Er wies fer­ner dar­auf hin, dass das BayL­DA erst­mals dar­auf ver­zich­tet habe, den Tätig­keits­be­richt als Buch her­aus­zu­ge­ben. Rück­fra­gen bei den Adres­sa­ten der ver­schick­ten Tätig­keits­be­rich­te hät­ten erge­ben, dass die­se nach Erhalt des Buches eigent­lich nur noch mit der digi­ta­len Ver­si­on gear­bei­tet hät­ten. Der vor­ge­leg­te Tätig­keits­be­richt ist der letz­te mit einem zwei­jäh­ri­gen Berichts­zeit­raum, da die Daten­­schutz-Grun­d­­ver­­or­d­­nung die Auf­sichts­be­hör­den ver­pflich­tet, in Zukunft jähr­lich ihren Bericht vor­zu­le­gen.

Bera­tung, Bera­tung, Bera­tung
Wie nicht anders zu erwar­ten, ist das BayL­DA – wie ande­re Auf­sichts­be­hör­den auch – mit Anfra­gen über­häuft wor­den, wie die Vor­schrif­ten der DS-GVO im Ein­zel­fall aus­zu­le­gen sind. Gro­ße Unter­neh­men hat­ten in aller Regel die zwei­jäh­ri­ge Über­gangs­frist vom Inkraft­tre­ten der Daten­­schutz-Grun­d­­ver­­or­d­­nung am 25. Mai 2016 bis zur Anwend­bar­keit am 25. Mai 2018 genutzt, um sich dar­auf vor­zu­be­rei­ten und ihre Ver­ar­bei­tungs­pro­zes­se anzu­pas­sen. Vie­le klei­ne und mitt­le­re Unter­neh­men, ins­be­son­de­re aber auch Ver­ei­ne, wur­den von dem neu­en Recht über­rascht und durch irre­füh­ren­de Pres­se­be­rich­te (Klin­gel­schil­der, Ver­bie­tung von Kin­der­bil­dern) zusätz­lich ver­un­si­chert. Die Anstren­gun­gen, die gera­de in die­sem Bereich, für den die DS-GVO rela­tiv wenig neue Anfor­de­rung gebracht hat, erfor­der­lich waren, um die bestehen­de Ver­un­si­che­rung zu besei­ti­gen, waren unvor­stell­bar. Tat­sa­che ist jedoch, dass auch heu­te knapp ein Jahr nach Anwend­bar­keit der DS-GVO das Bedürf­nis nach Bera­tung und Rechts­si­cher­heit noch lan­ge nicht befrie­digt ist.

Zah­len und Fak­ten
Eine grö­ße­re Anzahl von Auf­sichts­be­hör­den hat sich dar­auf ver­stän­digt, in einem Kapi­tel „Zah­len und Fak­ten“ sta­ti­sti­sche Anga­ben in einem ein­heit­li­chen For­mat dar­zu­stel­len. Wir haben uns bemüht, dies erst­mals umzu­set­zen. Bes­ser gewor­den sind die Zah­len dadurch jedoch nicht.

Um die gestie­ge­ne Bela­stung für jede ein­zel­ne Mit­ar­bei­te­rin oder Mit­ar­bei­ter trans­pa­rent zu machen, wur­de ermit­telt, wie vie­le Bera­tungs­an­fra­gen, Beschwer­den und Bear­bei­tung von Daten­mit­tei­lung über Daten­schutz­ver­let­zun­gen auf jeweils eine Per­son fal­len. Fie­len auf eine Per­son im Jahr 2014 noch 176 Bera­tungs­an­fra­gen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwer­den stieg von 60 auf 152 und die Zahl der Bear­bei­tung von Daten­schutz­ver­let­zun­gen von einem Fall auf 103 Fäl­le. Wich­tig ist in die­sem Zusam­men­hang aber dar­auf hin­zu­wei­sen, dass es dar­über hin­aus noch eine gan­ze Men­ge ande­rer Arbei­ten wie die Teil­nah­me an Sit­zun­gen der Auf­sichts­be­hör­den, Vor­trags­ver­an­stal­tun­gen, Erar­bei­tung von Inhal­ten für die Home­page, von Papie­ren für die Daten­schutz­kon­fe­renz oder den euro­päi­schen Daten­schutz­aus­schuss usw. gibt.

Per­so­nal­ent­wick­lung
Aus heu­ti­ger Sicht besteht die begrün­de­te Erwar­tung, dass nach Abschluss des der­zeit lau­fen­den Ver­fah­rens zur Ver­ab­schie­dung des Dop­pel­haus­halts für die Jah­re 2019 und 2020 wir nicht die bean­trag­te Per­so­nal­auf­stockung um 10 Stel­len, aber den­noch eine gewis­se Per­so­nal­ver­stär­kung bekom­men wer­den.

Rele­van­te Ein­zel­the­men
Das neue euro­päi­sche Daten­schutz­recht in Form einer Ver­ord­nung, d. h. einer Rechts­norm die unmit­tel­bar in allen Mit­glied­staa­ten der Euro­päi­schen Uni­on anwend­bar ist, stellt uns vor beson­de­re Her­aus­for­de­run­gen bei der Inter­pre­ta­ti­on. Einer­seits wün­schen vie­le Ver­ant­wort­li­che, wie in der Daten­­schutz-Grun­d­­ver­­or­d­­nung die­je­ni­gen genannt wer­den, die mit per­so­nen­be­zo­ge­nen Daten von ande­ren umge­hen, Infor­ma­tio­nen dar­über, wie bestimm­te Vor­schrif­ten zu ver­ste­hen sind. Ande­rer­seits könn­te eine rechts­si­che­re Aus­kunft nur dann erteilt wer­den, wenn die euro­päi­schen Auf­sichts­be­hör­den dar­über ein ein­heit­li­ches Ver­ständ­nis erzielt haben. Dies ist aber ein schwie­ri­ger und zäher Pro­zess.

Wir haben uns des­halb ent­schie­den, sehr früh unse­re Stand­punk­te trans­pa­rent zu machen, in Kurz­pa­pie­ren zu ver­öf­fent­li­chen und auch bei Bera­tun­gen oder Ver­an­stal­tun­gen zu ver­tre­ten. Wir haben dabei immer ver­sucht, dar­auf hin­zu­wei­sen, dass dies eine erste vor­läu­fi­ge Ein­schät­zung ist, die dann kei­nen Bestand mehr hat, wenn sich ent­we­der die Gesamt­heit der deut­schen und/​​oder euro­päi­schen Auf­sichts­be­hör­den auf ein ande­res Ver­ständ­nis geei­nigt hat oder wenn der Euro­päi­sche Gerichts­hof eine ver­bind­li­che Aus­le­gung getrof­fen hat.

Die größ­ten Unsi­cher­hei­ten und häu­fig­sten Anfra­gen und auch Aus­sa­gen von uns, bezo­gen sich auf die Infor­ma­ti­ons­pflich­ten, d. h. dar­auf, in wel­cher Art und Wei­se und in wel­chem Umfang Betrof­fe­ne Per­so­nen dar­über infor­miert wer­den müs­sen, wie mit ihren Daten umge­gan­gen wird. Etwa eben­so häu­fig waren Fra­gen nach den Rechts­vor­aus­set­zun­gen für die Ver­öf­fent­li­chung von Bil­dern von Ver­eins­fe­sten, Mit­ar­bei­ter­zei­tun­gen, Berich­te über Ver­an­stal­tun­gen, Erstel­len von Chro­ni­ken usw.

In 19 von 24 Kapi­teln des Tätig­keits­be­richts haben wir aus allen Berei­chen, vom Daten­schutz im Inter­net, über Wer­bung, Ver­si­che­rungs­wirt­schaft, Gesund­heit, Video­über­wa­chung bis zum tech­ni­schen Daten­schutz und der Infor­ma­ti­ons­si­cher­heit Ein­zel­fäl­le dar­ge­stellt und unse­re Bewer­tung trans­pa­rent gemacht.

Sinn und Zweck des Tätig­keits­be­richts
Die Auf­sichts­be­hör­den sind ver­pflich­tet, einen Tätig­keits­be­richt zu erstel­len. Unser Ansatz dabei war, zum einen durch eine mög­lichst detail­lier­te sta­ti­sti­sche Auf­be­rei­tung Trans­pa­renz in unse­re Arbeit zu brin­gen. Erfah­rungs­ge­mäß wird er am mei­sten von Daten­schutz­be­auf­trag­ten gele­sen, die sich dar­über ori­en­tie­ren wol­len, wel­che Rechts­auf­fas­sung ihre Auf­sichts­be­hör­de zu bestimm­ten The­men hat. Wir wün­schen uns auch, dass Bür­ger, die kei­ne Sach­ver­stän­di­gen für Daten­schutz sind, mit dem Tätig­keits­be­richt etwas anfan­gen kön­nen. Wir haben uns des­halb bemüht, die Tex­te so zu for­mu­lie­ren, dass sie auch für Nicht­sach­ver­stän­di­ge ver­ständ­lich sind, ande­rer­seits aber auch durch Anga­be der ent­spre­chen­den Rechts­grund­la­gen Daten­schutz­fach­leu­ten eine Ori­en­tie­rung geben.

Fund­stel­le des Tätig­keits­be­richts
Der Tätig­keits­be­richt für die Jah­re 2017 und 2018 ist unter fol­gen­dem Link erreich­bar: https://​www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Die Pres­se­mit­tei­lun­gen des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht kön­nen hier abge­ru­fen wer­den.